Uniwersytet Jagielloński Wydział Prawa i Administracji Dariusz Woźniak Prawne, ekonomiczne oraz technologiczne aspekty polskiego systemu podpisu elektronicznego Praca napisana pod kierunkiem Dr hab. Tadeusza Włudyki Kraków 2002 Spis treści



Pobieranie 280.97 Kb.
Strona1/12
Data06.05.2016
Rozmiar280.97 Kb.
  1   2   3   4   5   6   7   8   9   ...   12
Uniwersytet Jagielloński

Wydział Prawa i Administracji

Dariusz Woźniak


Prawne, ekonomiczne oraz technologiczne aspekty polskiego systemu podpisu elektronicznego

Praca napisana pod kierunkiem

Dr hab. Tadeusza Włudyki

Kraków 2002

Spis treści


Wprowadzenie 4

1. Przesłanki ekonomiczne przyczyną wprowadzenia podpisu elektronicznego do polskiego systemu prawnego. 6

1.1. Cechy podpisu elektronicznego 6

1.2. Możliwe zastosowania podpisu elektronicznego. 10

1.3. Podpis elektroniczny jako element tworzącego się w Polsce eGovernment. 12

2. Technologiczne uwarunkowania procedury cyfrowego podpisu 14

2.1. Algorytmy symetryczne i asymetryczne 14

2.2. Przebieg procesu podpisywania elektronicznego 16

2.3. Certyfikaty 24

2.4. Znakowanie czasem 27

2.5. Rozwój technologii identyfikacyjnych 29

2.6. Techniczne standardy dotyczące podpisu elektronicznego. 30

3. Uwarunkowania o charakterze prawnym, które wywarły wpływ na kształt regulacji podpisu elektronicznego. 33

3.1. Status podpisu elektronicznego przed jego ustawową regulacją 33

3.2. Regulacja technologicznie zamknięta a technologicznie otwarta 35

3.3. Harmonizacja rozwiązań ustawowych z prawem Unii Europejskiej 37

4. Skutki prawne wprowadzenia podpisu elektronicznego do polskiego systemu prawnego. 41

4.1. Podpis elektroniczny zrównany w świetle prawa z podpisem własnoręcznym. 41

4.2. Podpis elektroniczny a zawarcie umowy drogą elektroniczną 45

4.3. Znakowanie czasem zrównane z datą pewną. 47

4.3. Rynek świadczenia usług certyfikacyjnych 48

Podsumowanie 60

Bibliografia 62

Wprowadzenie

Rozwój technologii informacji i komunikacji (ang. Information and Communication Technologies – ICT), a w szczególności powstanie globalnej sieci teleinformatycznej stworzyło nową jakość w komunikacji międzyludzkiej. Internet w stosunkowo krótkim czasie stał się ważnym narzędziem prowadzenia działalności gospodarczej, a utrzymanie wysokiej dynamiki rozwoju tej działalności wymagało wprowadzenia przejrzystych ram prawnych jej funkcjonowania. Jedną z podstawowych konieczności stało się stworzenie infrastruktury prawnej do efektywnego i bezpiecznego potwierdzania tożsamości osób uczestniczących w elektronicznym obrocie gospodarczym.

Powyższa konieczność zaowocowała stworzeniem koncepcji podpisu elektronicznego (cyfrowego). Mimo, iż dzisiaj problematyka ta wydaje się jeszcze stosunkowo daleka od codziennego życia, z dużą dozą prawdopodobieństwa można przypuszczać, że za kilka lub kilkanaście lat, posiadanie własnego podpisu elektronicznego będzie równie użyteczne, a czasem konieczne, jak w dniu dzisiejszym, nie przymierzając, posiadanie telefonu. Polski ustawodawca stworzył podstawy prawne podpisu elektronicznego dając mu istotne miejsce w polskim systemie prawnym. Wychodząc naprzeciw potrzebie zrozumienia istoty problematyki dotyczącej podpisu elektronicznego została napisana niniejsza praca.
W rozdziale pierwszym zdefiniowano podpis elektroniczny i określono jego rodzaje. Ponadto, zostały wskazane tam zastosowania podpisu elektronicznego zarówno w sferze działalności gospodarczej, funkcjonowania administracji i sądownictwa, jak i w sferze życia codziennego.

Rozdział drugi wyjaśnia procedurę podpisu elektronicznego oraz elementy z nim związane od strony technologicznej. Bez odwołania się do wiedzy z zakresu kryptografii, informatyki oraz telekomunikacji nie da się zrozumieć w pełni, czym jest podpis elektroniczny, z jakich elementów się składa, jak powstaje i jak jest weryfikowany. W rozdziale tym zostały również przedstawione od strony technologicznej certyfikaty podpisu elektronicznego oraz usługi znakowania czasem. Ostatnia część rozdziału zawiera opis najbardziej istotnych standardów technologicznych związanych z systemem podpisu elektronicznego oraz działań instytucji międzynarodowych, które w największym stopniu przyczyniły się do globalnego upowszechnienia się podpisu elektronicznego.

Polski ustawodawca tworząc prawną infrastrukturę dla podpisu elektronicznego nie działał w próżni. Musiał opierać się na istniejącym systemie prawnym oraz wziąć pod uwagę międzynarodowe zobowiązania, które Polska nałożyła na siebie podpisując umowy międzynarodowe. Powyższe uwarunkowania stały się przedmiotem rozważań w rozdziale trzecim niniejszej pracy. Przeanalizowana została kwestia wymogów związanych z potrzebą harmonizacji prawa polskiego z prawem Unii Europejskiej, jak również przedstawiony został podstawowy dylemat prawny, jaki stoi przed każdym ustawodawcą podpisu elektronicznego na świecie – wybór regulacji podpisu elektronicznego otwartej lub zamkniętej technologicznie.

W ostatnim rozdziale został przedstawiony polski system prawny podpisu elektronicznego i problemy z nim związane. Przedmiotem tego rozdziału są między innymi kwestie związane z formą elektronicznych czynności prawnych, problematyką zawierania umów w drodze elektronicznej, znakowaniem czasem podpisu elektronicznego. W rozdziale tym zostały również przedstawione ramy prawno-organizacyjne tworzącego się w Polsce rynku usług certyfikacyjnych.



1. Przesłanki ekonomiczne przyczyną wprowadzenia podpisu elektronicznego do polskiego systemu prawnego.




1.1. Cechy podpisu elektronicznego

Brak zaufania w stosunku do partnerów handlowych, z którymi nie ma się bezpośredniego fizycznego kontaktu, oraz do ofert, które docierają poprzez sieć teleinformatyczną jest powszechna i stanowi poważne ograniczenie w rozwoju gospodarki opartej na technologiach informacji i komunikacji. Źródłem braku potrzebnego zaufania był brak mechanizmów prawnych i technologicznych, które pozwoliłyby na tworzenie prawnie doniosłych dowodów oświadczenia woli stron w obrocie elektronicznym. Najprostszym rozwiązaniem było zastąpienie podpisu własnoręcznego obiektem, który spełniałby w środowisku elektronicznym te same funkcje, co podpis własnoręczny na dokumencie w tradycyjnym obrocie gospodarczym.

W literaturze dotyczącej tego zagadnienia, stosowane są dwa terminy – „podpis elektroniczny” (ang. electronic signature) oraz „podpis cyfrowy” (ang. digital signature). Mimo, iż często utożsamia się te dwa terminy, nie jest to praktyka uzasadniona. Upraszcza rzeczywistość i powoduje terminologiczną nieostrość, a w pewnych sytuacjach może wprowadzać w błąd. Podpis elektroniczny jest pojęciem szerszym od podpisu cyfrowego i opisuje wszystkie technologie zastępujące podpis odręczny w środowisku elektronicznym. Zatem, podpisem elektronicznym jest podpis odręczny zeskanowany i umieszczony jako plik graficzny w dokumencie, podpis dokonany za pomocą pióra świetlnego, jak również dołączony do dokumentu kod osobistego dostępu (PIN). Podpis cyfrowy z kolei wiąże się z informatycznym zastosowaniem kryptografii w celu zapewnienia autentyczności wiadomości elektronicznych oraz integralności treści tych informacji. Każdy podpis cyfrowy jest więc podpisem elektronicznym, lecz nie każdy podpis elektroniczny jest podpisem cyfrowym.

Zamieszania terminologicznego nie wyjaśnia ustawa z dnia 18 września 2001r., o podpisie elektronicznym (Dz.U. 2001 nr 130 poz. 1450), która stanowi kluczowy akt prawny kształtujący system podpisu elektronicznego w Polsce (dalej: u.p.e.). Wprowadza ona techniczno-prawną definicję podpisu elektronicznego, który jest według ustawy „danymi w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny”1. Ustawodawca zakreślił niezwykle szeroko zakres obiektów, które należy uznać za podpis elektroniczny według ustawy. Każde dane, które są w postaci elektronicznej i zostały dołączone do innych danych oraz służą identyfikacji podmiotu są podpisem elektronicznym.


Tak szeroka definicja podpisu elektronicznego nie ma de facto znaczenia praktycznego, w związku z czym ustawodawca obok definicji podpisu elektronicznego wprowadził również pojęcie kwalifikowanego (zaawansowanego) podpisu elektronicznego określonego w u.p.e. jako „bezpieczny podpis elektroniczny”. Zgodnie z art. 3 pkt. 2 u.p.e. bezpieczny podpis elektroniczny to podpis elektroniczny, który:

  1. jest przyporządkowany do osoby składającej ten podpis,

  2. jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,

  3. jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna”.

Jak łatwo zauważyć definicja bezpiecznego podpisu elektronicznego odpowiada pojęciu podpisu cyfrowego, co więcej podpisu cyfrowego opartego na algorytmach asymetrycznych.
Dostosowując się do przyjętego przez ustawodawcę rozwiązania, w dalszej części niniejszej pracy pod pojęciem „podpisu elektronicznego” lub „podpisu cyfrowego” należy rozumieć bezpieczny podpis elektroniczny w znaczeniu techniczno-prawnym zdefiniowanym przez u.p.e.
Tak więc, ustawodawca określa, iż bezpieczny podpis elektroniczny musi posiadać trzy podstawowe cechy – musi zapewniać wiarygodność, niezaprzeczalność oraz spójność.
Wiarygodność podpisu elektronicznego oznacza, iż w wyniku jego weryfikacji zostało stwierdzone jednoznacznie powiązanie kryptograficzne pomiędzy parą kluczy prywatnym i publicznym, co w praktyce oznacza, iż przesłana wiadomość została pozytywnie zweryfikowana za pomocą publicznego klucza nadawcy. Traktując cechę jak kryterium uznania podpisu elektronicznego za bezpieczny ustawodawca wprowadza cechę wiarygodności w pkt a) definicji, określając, iż podpis jest przyporządkowany do osoby go składającej.
Z cechą wiarygodności wiąże się ściśle niezaprzeczalność (ang. non-repudiation) podpisu elektronicznego. Podpis elektroniczny charakteryzujący się niezaprzeczalnością został stworzony za pomocą procedury, która nie pozwala skutecznie twierdzić osobie widniejącej jako właściciel klucza publicznego, za pomocą którego dokonano weryfikacji podpisu elektronicznego, iż to nie on dokonał podpisu elektronicznego. Niezaprzeczalność określa pkt b) wspomnianej definicji bezpiecznego podpisu elektronicznego, który określa, iż bezpieczny podpis elektroniczny jest sporządzony za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego. Tak więc, o czym będzie jeszcze mowa, do zobowiązań osoby składającej podpis elektroniczny należy zapewnienie, by nikt inny nie przejął kontroli nad urządzeniami oraz oprogramowaniem służącym do składania podpisu elektronicznego.

Spójność, nazywana również integralnością danych (ang. integrity). Podpis elektroniczny winien gwarantować, iż dane przesyłane między dwoma punktami nie zostaną zniekształcone, a każda nieautoryzowana zmiana w treści wiadomości zostanie wykryta. Ustawodawca bardzo wyraźnie definiuje tą cechę jako kryterium uznania podpisu elektronicznego za bezpieczny w pkt c) art. 3 u.p.e., który stanowi, iż bezpieczny podpis elektroniczny „jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna”.

Jako cechę podpisu elektronicznego wymienia się czasem poufność, bowiem przesyłana i podpisana elektronicznie wiadomość może być również zaszyfrowana (np. z użyciem klucza publicznego odbiorcy). Kwestia poufności jest jednak zupełnie niezależna od podpisu elektronicznego i dla jego ważności jest bez znaczenia, czy podpisana wiadomość została zaszyfrowana.


Mimo znaczących analogii podpisu własnoręcznego oraz podpisu elektronicznego (stąd wzięła się nazwa „podpisu” elektronicznego) istnieją znaczące różnice polegające nie tylko na fakcie, iż podpis własnoręczny jest umieszczony na papierze, a podpis elektroniczny ma postać ciągu bitów i fizycznie istnieje na nośniku elektronicznym lub też transmitowany jest poprzez sieć teleinformatyczną.

Podpis własnoręczny określonego człowieka jest generalnie taki sam za każdym razem, gdy człowiek się podpisuje. Nawet jeżeli różni się w szczegółach, różnice te są niewielkie i nie mają znaczenia prawnego. Z kolei podpis elektroniczny jest za każdym razem inny, bowiem polega na przekształceniu wiadomości lub częściej matematycznego skrótu wiadomości na postać ciągu bitów (ciągu zer i jedynek), które zależą nierozerwalnie od treści wiadomości oraz od parametru zależnego od użytkownika, a wyrażającego się w znanym tylko jemu ciągu bitów – kluczu prywatnym. Oznacza to, iż nawet najmniejsza zmiana treści wiadomości powoduje zasadniczą zmianę podpisu elektronicznego.

Użytkownik podpisując własnoręcznie dokument (np. umowę) powinien sprawdzić, czy jest kompletna, to znaczy parafować każdą ze stron. W przypadku podpisu elektronicznego nie ma potrzeby podpisywać elektronicznie każdej ze stron, bowiem podpis elektroniczny dotyczy całego dokumentu, zatem każdej ze stron w jednakowym stopniu.

Nie istnieje, tak jak w przypadku dokumentów papierowych oryginał i kopia dokumentu elektronicznego opatrzonego tym samym podpisem elektronicznym. Każda z wiadomości z dołączonym do niej podpisem elektronicznym jest oryginałem. W praktyce może wystąpić potrzeba istnienia wyraźnie określonego oryginału oraz kopii. Wówczas, w treści wiadomości musiałaby być adnotacja, iż dana wiadomość w postaci elektronicznej jest oryginałem lub kopią. Wówczas jednak, podpis elektroniczny takiego oryginału oraz kopii będą się zasadniczo różnić.


Obok ustawy o podpisie elektronicznym jako ważną podstawę polskiego systemu podpisu elektronicznego należy wymienić Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego (Dz.U. 2002 nr 128 poz. 1094). W niniejszej pracy szereg razy zostaną powołane przepisy powyższego rozporządzenia, dlatego też w jej dalszej części wspomniany akt prawny będzie powoływany jako „rozporządzenie w sprawie warunków technicznych i organizacyjnych”.
  1   2   3   4   5   6   7   8   9   ...   12


©absta.pl 2016
wyślij wiadomość

    Strona główna